Um serviço de ligações seguras divulgou acidentalmente milhões de ligações que deveriam ser privadas e expôs quem as criou. Os bots maliciosos não perderam tempo a explorar a vulnerabilidade.

Ao partilhar ligações, é crucial controlar quem pode aceder aos dados. Os serviços de ligação segura são criados para este fim.

Estes serviços permitem criar ligações protegidas com vários controlos de segurança, como palavras-passe, PINs, limitações de endereços IP ou verificação de URLs em tempo real, para garantir o acesso e proteger os utilizadores de ligações maliciosas.

A Microsoft e a Google integraram há muito tempo as ligações seguras nos seus produtos. Para aqueles que não subscrevem as soluções dos gigantes tecnológicos, existem plataformas na Internet que fornecem serviços semelhantes. No entanto, a utilização de serviços de terceiros pode apresentar riscos, nomeadamente quando ocorre um erro humano.

Foi o que aconteceu com o Safelinking.net, uma plataforma de proteção e gestão de links. No dia 5 de agosto, a equipa de investigação do Cybernews descobriu que tinha divulgado publicamente uma enorme quantidade de dados dos utilizadores que deveriam estar protegidos.

Para além de tornar públicos 30 milhões de links privados, a plataforma expôs também os dados das contas de mais de 156.000 utilizadores.

Que dados foram divulgados?

• Nomes de utilizador
• Emails
• Palavra-passe encriptada
• Definições de notificação
• Definições de segurança associadas às hiperligações
• IDs de contas de redes sociais
• Ligações protegidas

Bots maliciosos encontram os dados

A fuga foi causada por uma base de dados MongoDB mal configurada e sem palavra-passe. Depois de investigar a fuga, a equipa de investigação descobriu vestígios de bots maliciosos que já tinham visado a base de dados desprotegida.

As bases de dados MongoDB mal configuradas são frequentemente visadas por bots automatizados, que inserem notas README com um pedido de resgate. Se o proprietário da base de dados não pagar o resgate, os bots destroem o conteúdo da base de dados enviando um comando “delete”.

Uma nota deste género foi descoberta na base de dados com fuga de informação pertencente à Safelinking. A nota exigia o pagamento de 0,0057 BTC, que, no momento da publicação, era quase US$ 660. “Em 48 horas, os seus dados serão divulgados publicamente e excluídos”, diz a nota de resgate.

Após o pedido de resgate, um bot malicioso destruiu o banco de dados aberto, que agora não está disponível publicamente.

Acesso livre a dados sensíveis

Configurações de notificação, IDs de contas de redes sociais e hashes de API são considerados dados sensíveis, assim como a coleção de milhões de links que deveriam ser seguros.

“É um bom lembrete do motivo pelo qual é tão importante ter medidas de segurança sólidas para as plataformas que lidam com este tipo de dados”, disse a equipa de investigação da Cybernews. “Mesmo que, por vezes, as plataformas não consigam proteger a privacidade dos utilizadores, é bom ter conhecimentos básicos de segurança, como a utilização de autenticação multifactor.”

Embora a equipa não tenha inspecionado as informações por detrás das ligações, é muito provável que pelo menos algumas delas contenham informações privadas e sensíveis. É uma prática comum partilhar esses dados utilizando ligações seguras com controlo de acesso.

As ligações seguras são frequentemente utilizadas para dar acesso a informações sobre cuidados de saúde, material de aprendizagem eletrónico pago, fotografias privadas e sítios Web em desenvolvimento. Também são convenientes para enviar facturas, pedir pagamentos ou transferir documentos internos relacionados com o trabalho.

Neste caso, os agentes da ameaça podem ter utilizado as ligações divulgadas para aceder a conteúdos privados ou sensíveis e explorá-los para roubo de identidade.

Os detalhes da conta expostos, como nomes de utilizador, e-mails e IDs de contas de redes sociais, podem ser utilizados para ataques de phishing, o que pode levar a mais danos financeiros e de reputação.

Fonte: cybernews